漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客

严重：¥ 400-6000

高危：¥ 200-2000

中危：¥ 40-600

低危：¥ 20-120

核心系统：

*.stepfun.com（platform.stepfun.com除外）

核心的IT或运营系统

阶跃ai相关app，小程序等

 *详见阶跃星辰SRC页面公告

1.以测试漏洞为借口，利用漏洞进行以下行为的，不适用于本项目，同时厂商保留采取进一步法律行动的权利。

- 利用越权或SQL注入等可以获取敏感数据的漏洞，批量获取10条以上数据；

- 损害用户利益、盗取用户数据；

- 未经厂商授权、在厂商完成修复前传播漏洞细节；

- 使用高并发测试/CC攻击/DDoS攻击等影响厂商业务正常运行；

- 突破网络边界后进行内网渗透；

- 发动社会工程攻击。

2.撞洞说明：

- 同一漏洞定义：同一个漏洞源产生的多个漏洞算同一个漏洞。如：全局函数、全局配置导致的问题、同一配置影响的多个文件、同一漏洞的不同利用方式、同一函数导致漏洞等、同一文件在不同目录、不同版本的同一漏洞、同一微服务部署在不同域名下等。

- 原则上以提交时间作为漏洞接收顺序，多人同时提交内容一致的报告，以第一个提交者为准，且只收录一次。

3.内容安全相关问题不适用于本项目。

4.越权相关漏洞，请尽量提供测试账号，因测试账号导致无法复现的漏洞将会被忽略；登录后台相关的漏洞需要给出详尽的登录过程，否则漏洞会被忽略

5.POC需要尽可能详细，除了截图外，还需要包含详细的URL、填写明确的文本（尤其是诱导ai所使用的提示词、对话输入）。因POC过于简单导致无法复现的漏洞将会被忽略。

6.对于第三方组件、产品服务导致的漏洞，如果是已公开漏洞，将会被忽略；如果是未公开漏洞，根据漏洞对产品和业务的影响进行独立评估。

7.阶跃星辰及相关公司员工不得参与或通过朋友参与本项目。

8.本项目最终解释权归StepSRC所有。